Technologie und Software

10 Fragen zu DSGVO und IT-Sicherheit, die Ihr Lieferant beantworten können muss

Im Jahr 2018 führte die EU die DSGVO („Datenschutz-Grundverordnung“) ein, und seitdem hat die IT-Sicherheit für alle Unternehmen höchste Priorität.

6. Dez 2022 | 7 min Lesezeit
Sascha Skydsgaard
„Lieber ein Actionfilm als eine Liebesgeschichte“, lautet eines von Sascha Skydsgaards Mottos. Diese Einstellung zeichnet auch ihr mehr als 12-jähriges Engagement für TimeLog aus. Als TimeLogs CSO arbeitet sie unermüdlich daran, dass wir unsere internen Prozesse ständig noch weiter verbessern.

Sie sind gemeinsam mit Ihren Lieferanten für die Sicherheit verantwortlich

Die meisten Unternehmen haben inzwischen erkannt, dass es nicht ausreicht, Datenrichtlinien, Systeme und Sicherheitsverfahren zu beherrschen. Sie müssen auch sicherstellen, dass Ihre Partner und Lieferanten ihre eigenen Standards, Richtlinien und Verfahren für ihre IT-Sicherheit haben.
Sascha Skydsgaard CSO, TimeLog

Die meisten Ihrer Daten werden extern verarbeitet

Die meisten Unternehmen haben Daten, die extern verarbeitet werden. Das kann das Outsourcing von Lohnverwaltung oder Buchhaltung sein oder bestimmte Apps oder Programme, auf die über die Cloud zugegriffen wird. Das bedeutet, dass Daten auf die eine oder andere Weise verarbeitet werden. Und damit besteht, wie immer, wenn Sie mit Daten arbeiten, das Risiko einer Datenschutzverletzung. Und egal, ob Ihnen oder dem Lieferanten ein Verstoß oder ein Unfall passiert, Sie sind für die Sicherheit verantwortlich.

Deshalb entscheiden sich immer mehr Unternehmen dafür, ihre Arbeit mit DSGVO und IT-Sicherheit von unabhängigen Wirtschaftsprüfern überprüfen und dokumentieren zu lassen.

3 Gründe, einen Lieferanten mit ISAE-Erklärungen auszuwählen

  • Sie erhalten die Bestätigung eines unabhängigen Wirtschaftsprüfers über die Einhaltung der DSGVO und das allgemeine IT-Sicherheitsniveau Ihres Lieferanten

  • Die Prozesse des Lieferanten werden detailliert in öffentlich zugänglichen Berichten dokumentiert 

  • Sie sparen Zeit, weil Sie die Prozesse eines Lieferanten nicht kontrollieren müssen. Es bietet Sicherheit und Sie kennen den tatsächlichen Status der Arbeit Ihres Lieferanten in Bezug auf DSGVO und IT-Sicherheit

 

Der Vorteil der Auswahl eines Lieferanten mit ISAE-Erklärungen besteht darin, dass Sie eine Dokumentation für die Datenverarbeitung und -sicherheit erhalten und die Dokumentation von unabhängigen Prüfern kontrolliert wird. Das sorgt für Sicherheit – und Sie sparen Zeit.

Aber egal, ob Sie sich für einen Lieferanten mit ISAE-Erklärungen entscheiden oder nicht, die IT-Sicherheit muss immer Priorität haben.

Aber welche Fragen müssen Sie stellen, um sicherzustellen, dass Ihr Lieferant DSGVO-konform ist?

Wir haben die wesentlichen Fragen für Sie zusammengestellt, damit Sie sicherstellen können, dass Ihr Lieferant DSGVO-konform ist und über Sicherheitsverfahren und IT-Systeme verfügt.

10 Fragen, die Sie Ihrem Lieferanten stellen müssen, um sein Sicherheitsniveau zu bewerten

1. Wie dokumentieren Sie, dass Sie sensible personenbezogene Daten ordnungsgemäß verarbeiten?

Mitarbeiterdaten, Kundendaten usw. werden in der Regel sowohl von Ihnen als auch von Ihren Lieferanten verarbeitet. Für die ordnungsgemäße Verarbeitung der Daten ist jedoch Ihr Unternehmen verantwortlich. Daher müssen Sie Ihren Lieferanten um Dokumentation bitten, um nachzuweisen, dass er DSGVO-konform ist.

2. Welche Kontrollziele haben Sie?

Erkundigen Sie sich unbedingt, welche Kontrollziele Ihr Lieferant in Bezug auf Datensicherheit und IT-Infrastruktur hat. Ein Kontrollziel könnte beispielsweise ein Prozess zur Verwaltung von DSGVO-Vorfällen sein oder ausreichende Kenntnisse darüber, welche Systeme welche Daten, insbesondere personenbezogene Daten, verwalten.

Ein wesentlicher Teil von ISAE 3402 besteht darin, eine Reihe von dokumentierten Kontrollzielen festzulegen, die von einem spezialisierten Prüfer kontrolliert werden.

3. Wann haben Sie zuletzt Ihre IT-Compliance bewertet?

Fragen Sie Ihren Lieferanten, wie oft er seine IT-Richtlinien und -Sicherheit überarbeitet, validiert und aktualisiert. Unternehmen kaufen oft neue Programme, IT-Tools oder Apps, und das muss sich in den Prozessen und der Dokumentation widerspiegeln. Es reicht nicht aus, wenn ein Lieferant im Jahr 2018, als die DSGVO eingeführt wurde, eine IT-Richtlinie ausgearbeitet hat. Sie muss fortlaufend aktualisiert werden.

Im Gegensatz zu den ISO 2700X-Zertifizierungen wird die Kontrolle von ISAE 3402 und ISAE 3000 jedes Jahr durchgeführt. Eine ISO 2700X-Zertifizierung muss nicht aktualisiert werden, sondern weist darauf hin, dass die Bedingungen zum Zeitpunkt der Zertifizierung erfüllt waren. Wenn Ihr Lieferant also über eine ISO-Zertifizierung verfügt, fragen Sie nach, wann er diese erhalten hat.

Sie denken vielleicht, dass IT-Sicherheit umständlich oder teuer ist. Und die Ansprüche hoch sind. Aber wenn Sie sich über die Kosten für die Einhaltung der Vorschriften Sorgen machen, stellen Sie sich vor, was es Sie kosten könnte, wenn Sie es nicht tun und die Chips ausfallen.
Sascha Skydsgaard CSO, TimeLog

4. Überprüfen Sie sowohl Prozesse und Verfahren als auch die physische und logistische Sicherheit?

Wie oft besuchen Sie Ihren Lieferanten? Vielleicht ist er ganz oder teilweise in einem anderen Land ansässig? Eine ISAE 3402-Erklärung beinhaltet eine physische Sicherheitsprüfung.

5. Wie gehen Sie bei der Verarbeitung sensibler personenbezogener Daten vor?

Bevor Sie ein neues System in Ihrem Unternehmen implementieren, müssen Sie den gesamten Prozess kennen, wie Ihr Lieferant Ihre Daten, die Ihrer Kunden oder Ihrer Mitarbeiter verarbeitet. In Europa unterliegen alle Unternehmen den gleichen Regeln in Bezug auf die DSGVO. Sie müssen die Dokumentation darüber kennen, wie das Unternehmen diese Regeln einhält.

6. Wie gehen Sie im Falle einer Sicherheitsverletzung vor?

Fragen Sie, wie der Lieferant mit einer Sicherheitsverletzung umgeht. Und achten Sie darauf, ob es einen standardisierten und dokumentierten Prozess gibt.

Wird unbefugt auf Ihre Daten zugegriffen, ist Ihr Lieferant verpflichtet, Sie darüber zu informieren. Mit einer ISAE 3000-Erklärung ist Ihnen dies garantiert. Denn Unternehmen, die eine ISAE-Erklärung erlangen, haben Verfahren eingerichtet, die regelmäßig überarbeitet werden.

7. Welche Daten verarbeiten Sie?

Wahrscheinlich haben Sie eine Vorstellung davon, welche Daten Ihr Lieferant verarbeiten soll. Stellen Sie jedoch sicher, dass Ihr Lieferant die von ihm verarbeiteten Daten dokumentieren kann. Und ob Ihr Lieferant Unterlieferanten oder Partner einsetzt.

Mit einer ISAE 3000-Erklärung erhalten Sie eine genaue Übersicht, welche Daten verarbeitet werden. Sie müssen dann keine eigenen Nachforschungen anstellen.

8. Welche Risiken haben Sie im Zusammenhang mit der Verarbeitung meiner Daten abgedeckt?

Es ist immer gut, vorbereitet zu sein. Bevor Sie also eine Zusammenarbeit mit einem neuen Lieferanten eingehen, müssen Sie eine umfassende Beschreibung des Risikos anfordern, das er in Bezug auf seine Datenverarbeitung aufgeführt hat.

Mit ISAE 3402 haben Sie die Gewissheit, dass datenbezogene Prozesse und Verfahren von einem unabhängigen Spezialisten kontrolliert und genehmigt werden.

9. Wie stellen Sie die Zusammenarbeit zwischen Ihrer IT-Sicherheit und den DSGVO-Verpflichtungen sicher?

Viele Unternehmen können relativ gut beschreiben, wie sie die DSGVO-Regeln einhalten. Aber genauso wichtig ist es, dass die IT-Sicherheit, beispielsweise Systeme, Infrastruktur und Prozesse, mit Ihren DSGVO-Maßnahmen zusammenspielen und dass die IT-Sicherheit ebenso gut dokumentiert ist wie die DSGVO-Richtlinie.

Ohne IT-Sicherheit haben DSGVO-Maßnahmen keinen Wert. Wenn Sie auf Nummer sicher gehen möchten, suchen Sie nach einem Lieferanten, der sowohl über eine ISAE 3000- als auch eine ISAE 3402-Erklärung verfügt.

10. Wie dokumentieren Sie, dass die IT-Sicherheit in Ihrem Unternehmen reift und sich stetig verbessert?

Sie möchten wissen, dass Sie einen Lieferanten haben, bei dem Sicherheit nicht nur ein Schlagwort, sondern ein integrierter Bestandteil der Organisation ist. Eine Forderung im Rahmen von ISAE 3402 ist die interne Schulung in Bezug auf IT-Sicherheit, Datenverarbeitung usw. Fragen Sie Ihren Lieferanten, was er tut, um sicherzustellen, dass Mitarbeiter die IT-Sicherheit und die DSGVO in ihre tägliche Arbeit integrieren.

TimeLog und ISAE 3000 und ISAE 3402

Wir bei TimeLog sind überzeugt davon, dass wir als Dienstleister sicherstellen müssen, dass unsere Kunden keine zusätzlichen Risiken eingehen, indem sie uns die Verantwortung für Teile ihres Geschäfts und ihrer Daten übertragen. Daher verpflichten wir uns, mit einem zertifizierten Wirtschaftsprüfer zusammenzuarbeiten, um sowohl die ISAE 3000-DSGVO- als auch die ISAE 3402-Erklärung als kontinuierliches, jährliches Ziel unserer Compliance- und Informationssicherheitsarbeit zu erhalten.

Sind Sie neugierig, Beispiele für den Inhalt der beiden Erklärungen und unsere Berichte zu sehen?

Teilen Sie die 10 Fragen mit Ihrem Lieferanten

Schließlich haben wir hier die 10 Fragen zusammengestellt, damit Sie sie einfach kopieren und an neue oder bestehende Lieferanten senden können, um sicherzustellen, dass Sie zufriedenstellende Antworten erhalten, um Ihre DSGVO-Konformität zu unterstützen.

  1. Wie dokumentieren Sie, dass Sie sensible personenbezogene Daten ordnungsgemäß verarbeiten?
  2. Welche Kontrollziele haben Sie?
  3. Wann haben Sie zuletzt Ihre IT-Compliance bewertet?
  4. Überprüfen Sie sowohl Prozesse und Verfahren als auch die physische und logistische Sicherheit?
  5. Wie gehen Sie bei der Verarbeitung sensibler personenbezogener Daten vor?
  6. Wie gehen Sie im Falle einer Sicherheitsverletzung vor?
  7. Welche Daten verarbeiten Sie?
  8. Welche Risiken haben Sie im Zusammenhang mit der Verarbeitung meiner Daten abgedeckt?
  9. Wie stellen Sie die Zusammenarbeit zwischen Ihrer IT-Sicherheit und den DSGVO-Verpflichtungen sicher?
  10. Wie dokumentieren Sie, dass die IT-Sicherheit in Ihrem Unternehmen reift und sich stetig verbessert?